WIN98安全設置
(1).對系統進行安全設置的基本思路
公用微機的操作者壹般分為三大類:第壹類是系統管理員,系統管理員擁有對系統的絕對控制權,壹般來說沒有必要對系統管理員的權限進行限制;第二類是普通用戶,普通用戶使用計算機完成各種工作,因此必須獲得壹定的權限,不過也要防止普通用戶超越權限或破壞系統;第三類為非法入侵者,入侵者根本無權使用計算機,對入侵者壹定要將系統的壹切功能全部屏蔽。
按照這個思路,首先必須對Windows 98的正常操作人員(包括超級用戶)進行設置,將操作人員名單全部輸入到系統中,然後分別對他們的權限進行適當設置,這樣既保證了他們的安全,又禁止他們越權操作,最後便是采取措施,防止非法用戶“入侵”,確保系統安全。
(2).微機操作人員的設置
Windows 95系統是壹個多用戶操作系統,但它在用戶管理方面卻非常混亂,非法入侵者甚至可以在啟動時通過密碼確認框直接添加新的用戶,這對控制系統帶來了很大的不便。不過Windows 98對此進行了改進,它提供了用戶名的選擇性登錄功能,所以可事先將所有用戶全部添加到系統中,然後由系統在啟動時將這些用戶列表顯示出來,不同用戶從中選擇自己的用戶名並輸入相應的密碼之後即可以自己的名義啟動系統,而非法用戶則無法通過密碼確認框直接創建新用戶,他們只能通過按下“取消”按鈕或Esc鍵來進入系統。這樣,機器便能明確地區分正常用戶(包括超級用戶和普通用戶)與非法入侵者——通過登錄框選擇用戶名並輸入密碼進入的是正常用戶,使用“取消”按鈕進入的是非法入侵者,可以據此分別對他們的權限進行限制。
須要說明的是,Windows 98在默認情況下仍然采用與Windows 95相同的“老式”用戶名登錄方式,我們想要使用用戶名選擇性登錄方式則應執行如下步驟:
下面1~4步驟主要用於在Windows 98中設置用戶名及密碼,若用戶已經設置過,則可跳過這些步驟,直接從第5步開始。
1.雙擊Windows 98“控制面板”中的“密碼”圖標,打開“密碼屬性”設置框。
2.復選“用戶可自定義首選項及桌面設置,登錄時,Windows將自動啟用個人設置”選項。
3.根據需要決定是否選擇將“開始”菜單添加到用戶的自定義設置中(壹般應選擇“是”),然後單擊“確定”按鈕,接著根據屏幕提示設置適當的用戶密碼。
4.單擊“確定”按鈕退出設置框。
重新啟動計算機,此時系統就會彈出壹個常規性的密碼設置窗口,可輸入剛設置的用戶名及密碼,按正常方式啟動Windows 98。
5.啟動“控制面板”,雙擊“網絡”圖標,打開“網絡”設置框。
6.在“網絡”設置框中選擇“配置”選項卡。
7.從“主網絡登錄”列表框中選擇“Microsoft友好登錄”選項。
8.單擊“確定”按鈕並重新啟動計算機。
此後,Windows 98啟動時彈出的密碼設置框就會發生根本性的變化,它會將所有已經添加的用戶名全部以列表方式顯示出來,廣大用戶只須在“選擇用戶名”列表框中選擇自己的名稱,然後再在“密碼”框中輸入相應的密碼即可啟動各自的系統配置。
執行上述步驟之後,系統安裝用戶(超級用戶)已經被添加到了Windows 98中,接下來就應將操作用戶(普通用戶)添加到Windows 98中。由於采用選擇性登錄方式,系統不允許直接在Windows 98的用戶登錄窗口中創建新的用戶,必須通過雙擊“控制面板”中的“用戶”圖標,打開“添加用戶”窗口,並在“添加用戶”向導的幫助下逐步將本臺計算機上所有普通用戶的用戶名及密碼逐壹添加到系統中(此後就會出現在Windows 98的啟動登錄框中),然後就可以分別對這些用戶的權限進行設置了。
(3).對超級用戶權限的設置
對超級用戶而言,其操作權限壹般不應作太多限制(否則誰來對系統進行控制呢?),不過仍須對電源管理、屏幕保護等功能設置必要的密碼,以維護自己離機時系統的安全,防止其他用戶非法入侵。為此,我們可重新啟動計算機,當系統彈出用戶登錄框時選擇自己的名字並輸入相應的密碼,采用超級用戶身份登錄系統,然後根據需要分別對有關密碼進行設置。
為Windows 98的電源管理功能設置密碼
1.單擊“開始”按鈕,然後依次選擇“設置”、“控制面板”,啟動Windows 98的控制面板。
2.雙擊“控制面板”中的“電源管理”圖標,打開“電源管理屬性”設置框。
3.從“電源管理屬性”設置框中選擇“高級”標簽。
4.復選“計算機退出待機狀態時提示輸入密碼”選項。
5.選擇“電源管理屬性”設置框中的“電源方案”標簽。
6.在“系統等待狀態”列表框中選擇計算機在沒有操作多長時間之後自動啟動電源管理功能(即進入“掛起”狀態),主要有“從1分鐘之後”到“從不”等多種選項,我們應根據需要選擇不同的選項,建議選擇“從10分鐘之後”。
7.為關閉監視器和關閉硬盤設置合適的時間間隔。
8.單擊“確定”按鈕,關閉“電源管理屬性”設置框。
這樣就啟動了Windows 98的電源管理功能,並為其設置了保護的密碼,今後如果用戶在指定的時間(10分鐘)內沒有對計算機進行任何操作(包括移動鍵盤和鼠標),計算機就將自動進入“掛起”狀態,以便節省電力消耗(單擊“開始”按鈕並選擇“關閉系統”命令,然後從彈出的“關閉系統”對話框中選擇“將您的計算機轉入睡眠狀態”也可達到同樣的目的),而後用戶通過敲擊鍵盤或移動鼠標來激活計算機時,系統將會要求用戶輸入密碼,不輸入密碼將不能返回正常狀態,這就進壹步保護了用戶數據的安全。註意的是,Windows 98電源管理功能並沒有自己單獨的密碼,它的密碼與用戶的啟動密碼相同!
為屏幕保護程序設置密碼
1.用鼠標右鍵單擊桌面空白處,然後從彈出的快捷菜單中執行“屬性”命令,打開“顯示屬性”設置框。
2.單擊“屏幕保護程序”標簽,然後從“屏幕保護程序”列表框中選擇所需的屏幕保護程序,復選“密碼保護”選項。
3.單擊“更改”按鈕,打開“更改密碼”對話框,重復兩次輸入密碼並單擊“確定”按鈕,關閉“更改密碼”對話框。
4.單擊“設置”按鈕,對屏幕保護的有關功能進行適當設置:在“等待”框中設置多長時間不使用計算機後系統自動啟動屏幕保護(壹般可選擇5分鐘)。
5.單擊“確定”按鈕,保存設置並關閉“顯示屬性”設置框。
這樣,就達到了為屏幕保護設置密碼的目的。此後只要離開計算機(即不操作計算機)的時間達到5分鐘,系統就會自動啟動屏幕保護程序,而當用戶移動鼠標或敲擊鍵盤想返回正常工作狀態時,系統就會打開壹個密碼確認框,只有輸入正確的密碼之後才能返回系統,不知道密碼的用戶將無法進入工作狀態,從而保護了數據的安全。須要說明的是,部分設計不完善的屏幕保護程序沒有屏蔽系統的Ctrl+Alt+Del組合鍵,非法用戶只要按下Ctrl+Alt+Del鍵即可強行將這些屏幕保護程序關閉,從而使其失去應有的保護作用。判斷壹個屏幕保護程序是否屏蔽了Ctrl+Alt+Del組合鍵,可采用如下辦法:為其設置密碼後激活它,然後移動鼠標,打開它的密碼確認框,再按下Ctrl+Alt+Del鍵。若能彈出“關閉程序”對話框則表明該程序沒有屏蔽Ctrl+Alt+Del鍵,不能使用;若無法彈出“關閉程序”對話框則表明該程序屏蔽了Ctrl+Alt+Del鍵,可放心使用。
現在還有個問題,屏幕保護最快只能在用戶離開1分鐘之後自動啟動,這就存在壹個時間差的問題!解決的方法是,可以打開Windows 98的SYSTEM子目錄,找到相應的屏幕保護程序(*.SCR文件),將它們拖曳到桌面上,選擇彈出菜單中的“在當前位置創建快捷方式”命令,在桌面上為這些屏幕保護程序建立壹個快捷方式。此後,在離開計算機時雙擊這個快捷方式即可快速啟動屏幕保護。
另外,利用屏幕保護程序的密碼保護功能,還可令Windows 98壹啟動就自動運行屏幕保護程序,此後只有輸入密碼才能啟動計算機。不過此功能絕對不能通過Windows 98的“啟動”程序組來實現(Windows 98“啟動”程序組中的所有程序在啟動時都可通過按下Ctrl鍵跳過,從而無法啟動屏幕保護功能),只有通過修改註冊表數據才能確保設置萬無壹失。具體步驟為:
1.運行regedit命令,
2.展開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run分支
3.在Run主鍵中新建壹個名為“密碼確認”的字符串值
4.雙擊新建的“密碼確認”字符串,打開“編輯字符串”對話框
5.在“編輯字符串”對話框的“鍵值”欄中輸入相應的屏幕保護程序名及所在的路徑。
通過這樣的設置,此後每次啟動Windows 98時屏幕保護程序都會自動運行(利用Ctrl鍵試圖跳過啟動程序和按Ctrl+Alt+Del試圖強行關閉系統都無能為力),只有在輸入密碼之後才能使用,從而確保了系統的安全。
禁止光盤的自動運行功能
光盤的自動運行功能會帶來麻煩。Windows 98具有自動運行光盤的功能,當在光驅中插入CD之後,CD會自動進行播放,而當插入根目錄中帶有AUTORUN.INF文件的光盤之後,光盤也會自動運行。Windows 98的屏幕保護功能並沒有禁止光盤的自動運行功能,也就是說即使處於屏幕保護程序密碼的控制之下,用戶在插入壹張根目錄中含有AUTORUN.INF文件的光盤之後,系統仍會自動運行,這就給惡意攻擊者帶來了可乘之機(據說市面上已經出現了壹種專門用於破解屏幕保護程序密碼的自動運行光盤,插入該光盤後,系統就會自動對屏幕保護功能的密碼進行分析並破譯出密碼,然後再將密碼寫到軟盤上,接下來……),因此必須將光盤的自動運行功能關閉,讓屏幕保護真正發揮它應有的安全保護作用。關閉光盤的自動運行功能,可以按如下步驟操作:
1.單擊“我的電腦”圖標,然後從彈出的快捷菜單中執行“屬性”命令,打開“系統屬性”設置框
2.單擊“設備管理器”標簽
3.展開CDROM分支,從中選擇用戶所使用的光驅
4.單擊“屬性”按鈕,打開光驅屬性設置框
5.單擊“屬性”標簽
6.取消“自動插入功能”選項
7.連續單擊兩次“確定”按鈕,保存設置並退出所有對話框。
執行上述步驟後,無論誰在光驅中插入根目錄中含有AUTORUN. INF文件的光盤之後,系統都不會自動運行。
(4).對普通用戶權限的限制
對這些用戶,壹方面應根據工作需要賦予他們適當的權限,如啟動計算機,打開相應的應用程序,對自己的數據文件進行拷貝、刪除等操作,以保證他們工作的正常開展,另壹方面,為了防止他們對系統進行修改而破壞整個系統,必須對他們的權限進行必要的限制,如不允許他們使用控制面板中的某些設置項目以防任意修改系統,不允許使用註冊表編輯器、隱藏系統文件所在的分區以防意外等。
對普通用戶權限進行設置的步驟為:
啟動Windows 98,系統彈出啟動登錄框後從中選擇須要限制其權限的普通用戶,並輸入相應的密碼,以該用戶的身份進入系統。參照超級用戶的有關步驟對電源管理、屏幕保護等項目設置密碼,然後根據需要對他們的權限進行必要的限制(註意,由於工作原因,不同普通用戶可能須要擁有不同的操作權限,因此在對他們的權限進行設置時必須根據實際情況有選擇地加以限制),最後將啟動密碼、電源管理及屏幕保護的密碼通知相應用戶,要求其獨立對這些初識密碼進行更改。所以,對相應用戶權限的限制工作也告完成,此後即可由他們在限制的權限內正常對計算機進行操作。對普通用戶的權限進行限制的措施主要包括:
刪除“開始”菜單中的有關命令和項目
為了防止用戶利用Windows 98“開始”菜單上的“查找”、“運行”等命令來運行壹些特殊的應用程序,必須采用適當方法將它們刪除:
對“開始”菜單中“收藏夾”選項的操作:
1.運行Regedit命令
2.展開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer分支
3.在Explorer主鍵下新建壹個名為NoFavoritesMenu的DWORD值,雙擊該值,在“編輯DWORD值”對話框中將鍵值由0改為1
4.單擊“確定”按鈕,關閉“編輯DWORD值”對話框,重新啟動Windows 98,“開始”菜單中的“收藏夾”選項就會消失。
對“開始”菜單中“文檔”選項的操作:
在Explorer主鍵下新建壹個名為“NoRecentDocsHistory”的DWORD值,並將其值修改為1,則“文檔”菜單中的內容不能被修改;在Explorer主鍵下新建壹個名為“ClearRecentDocs OnExit”的DWORD值,並將其值修改為1,則每次退出系統時,Windows 98將自動清除文檔菜單中的歷史記錄,在Explorer主鍵下新建壹個名為“NoRecentDocs Menu”的二進制值,並將其值修改為“01 00 00 00”,則“文檔”菜單將從Windows的“開始”菜單中消失。
對“開始”菜單中“運行”選項的操作:
利用上面相同的方法,在Explorer主鍵下新建壹個名為“NoRun”的DWORD值,並將其值修改為1,則“運行”命令將從Windows 98的“開始”菜單中消失。
對“開始”菜單中“設置”選項的操作:
利用上面相同的方法,在Explorer主鍵下新建壹個名為“NoSetFolders”的二進制值,並將其值修改為“01 00 00 00”,則“設置”子菜單將從Windows 98的“開始”菜單中消失;在Explorer主鍵下新建壹個名為“NoSetTaskbar”的二進制值,並將其值修改為“01 00 00 00”,將不能再對Windows 98的任務欄屬性進行設置(前面設置了“NoSetFolders”二進制值之後,Windows 98的“設置”菜單不復存在,不過仍可通過右擊Windows 98任務欄,並執行“屬性”命令打開“任務欄”屬性對話框,這顯然不能滿足關閉“任務欄”屬性的要求,而設置此參數後,右擊任務欄的方法也將失效)。
對“開始”菜單中“查找”選項的操作:
利用上面相同的方法,在Explorer主鍵下新建壹個名為“NoFind”的DWORD值,並將其值修改為1,“開始”菜單中的“查找”子菜單就會消失。
對“開始”菜單中“關閉系統”選項的操作:
利用上面相同的方法,在Explorer主鍵下新建壹個名為“NoClose”的DWORD值,並將其值修改為1,“關閉系統”命令就將從“開始”菜單中消失。
對“開始”菜單中“註銷”選項的操作:
利用上面相同的方法,在Explorer主鍵下新建壹個名為“NoLogOff”的二進制值,並將其值修改為“01 00 00 00”,則“註銷”命令將從Windows 98的“開始”菜單中消失。
取消用戶的環境設置:
利用上面相同的方法,在Explorer主鍵下新建壹個名為“NoSaveSettings”的二進制值,並將其值修改為“01 00 00 00”,此後每次退出Windows 98時系統都不會保存用戶對環境所作的設置。
經過上述設置後,可以滿足不同用戶的需要。
隱藏“開始”菜單中的應用程序
對於普通用戶,可能要防止他們使用某些應用程序,這時就應采用下面的方法將Windows 98“開始”菜單中的應用程序隱藏起來:
1.用鼠標右鍵單擊“開始”菜單,從彈出的快捷菜單中執行“打開”命令,打開“Start Menu”文件夾窗口
2.在“Start Menu”文件夾窗口中找到希望隱藏的應用程序的快捷方式。
3.右擊該快捷方式,然後從彈出的快捷菜單中執行“屬性”命令,打開相應快捷方式的屬性設置框。
4.復選“隱藏”選項,然後單擊“確定”按鈕,關閉所有對話框。
此後,這些隱藏的快捷方式就會從Windows 98的“開始”菜單中消失,從而在壹定程度上達到了保密的目的(取消這些快捷方式的隱藏屬性後即可令其重新顯示)。
刪除“網上鄰居”等系統圖標
基於某些特殊需要,可能要禁止普通用戶使用桌面上的“網上鄰居”、“我的文檔”、“回收站”等系統圖標,而它們又不能采用常規方法刪除。為此,可執行如下步驟:
1.運行註冊表編輯器Regedit打開註冊表
2.展開註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\Namespace主鍵
3.此時可以從NameSpace 主鍵中看到“網上鄰居”、“我的文檔”、“回收站”等分支,只須刪除這些分支即可達到刪除桌面上相應系統圖標的目的。
在圖形界面下隱藏某個驅動器圖標
為防止普通用戶的破壞,希望將保存系統文件的磁盤分區(如C盤)以及光驅、軟驅等隱藏起來,為此可以進行下面的操作:
1.運行註冊表編輯器Regedit打開註冊表
2.展開註冊表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer分支
3.用鼠標右鍵單擊桌面空白處,然後執行快捷菜單中“新建”子菜單中的“二進制值”命令,創建壹個名為“NoDrives”的二進制值。該二進制值(“NoDrives”)就是用於設置是否隱藏某個驅動器的,它由四個二進制字節構成(缺省值為00 00 00 00),每個字節的每壹位都分別對應壹個磁盤驅動器的盤符。當某位為1時,資源管理器及“我的電腦”中的相應驅動器圖標即會隱藏起來。驅動器的值是這樣確定的:A~Z的值依次為2的0至25次方,把要禁止的驅動器的值相加,轉換為十六進制,就是NoDrives的鍵值。如要禁止A、D、E,則為1+8+16=25,轉換為十六進制數19,修改NoDrives的值為“19 00 00 00”即可。
完成上述操作後,相應的磁盤驅動器圖標就會從Windows 98的圖形界面中消失,無論是從“資源管理器”、“我的電腦”及有關文件的打開、關閉對話框還是在其它外掛文件管理器(如Windows Commander等)中都無法發現這些隱藏了的磁盤分區的蹤跡,從而滿足了防止普通用戶對系統文件進行破壞的需要,同時也使得他們不能使用任何外來程序(光驅、軟驅都不能訪問,光驅的自動運行功能又被禁止,還能安裝、運行其它程序嗎?),很好地保護了系統的安全。